Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .
Depuis le 3 mai 2023, il est possible de créer et d’utiliser des clés d’accès pour son compte personnel Google. Dans un article publié sur son blog, Google a indiqué que l’utilisation de clés d’accès était une alternative plus pratique et plus sûre aux mots de passe. Ces clés peuvent prendre diverses formes comme des empreintes digitales, la reconnaissance faciale ou l’utilisation d’un code PIN local.
La connexion par mot de passe et par MFA se caractérise par quelque chose que l’utilisateur connait (son mot de passe) et quelque chose que l’utilisateur possède (par exemple un token). A contrario, la connexion par le biais de clés d’authentification se caractérise par quelque chose que l’utilisateur possède (téléphone et application de clé d’accès biométrique) et quelque chose que l’utilisateur est (par exemple son empreinte digitale).
Cette dynamique d’évolution provient du constat que l’utilisation de mots de passe impose une grande responsabilité aux utilisateurs. En effet les mots de passe sont souvent trop simples et utilisés plusieurs fois sur différents comptes. Le MFA quant à lui n’est pas pratique car il ajoute une étape supplémentaire de connexion pour l’utilisateur et ne le protège pas du phishing, des attaques par credential stuffing et des escroqueries ciblées de sim swapping.
Les gestionnaires de mots de passe présentent aussi leurs limites puisqu’ils centralisent en un seul endroit plusieurs mots de passe, provocant ainsi un risque majeur en cas d’attaque. C’est ainsi que l’éditeur de gestionnaire de mot de passe LastPass avait fait part à deux reprises en 2022 d’attaques sur ses infrastructures.
En 2021, Verizon avait déjà publié un rapport d’enquête dans lequel il observait que 82% des failles de sécurité étaient dues à des identifiants volés, des attaques de phishing et des erreurs humaines. Face à ce constat, de plus en plus d’entreprises souhaitent voir ce nouveau modèle d’authentification devenir la norme. On peut notamment citer les cas d’Apple et Microsoft qui militent depuis longtemps pour la suppression des mots de passe au profit des clés d’accès, mais également PayPal , eBay, WordPress et Kayak.
Les clés d’accès sont basées sur une norme développée par l’ Alliance FIDO et le World Wide Web Consortium. Ces clés sont stockées sur un appareil (un téléphone par exemple) et s’intègrent aux lecteurs biométriques du matériel.
Le paramétrage de clés d’accès pour se connecter aux services de Google se fait en suivant ce lien.
Références
- https://security.googleblog.com/2023/05/so-long-passwords-thanks-for-all-phish.html
- https://www.theregister.com/2023/05/04/google_passkey/
- https://support.lastpass.com/help/incident-2-additional-details-of-the-attack
- https://support.google.com/chrome/answer/13168025?hl=fr&co=GENIE.Platform%3DAndroid#zippy=
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article